www.burks.de Foren-bersicht www.burks.de
Burkhard Schr�ders [Burks] Forum - f�r Kosmopoliten und Kaltduscher
burks.de: Forum für Kosmopoliten und Kaltduscher
burksblog.de: ab 01.01.2008 geht es hier weiter!
privacyfoundation.de: German Privacy Foundation
 FAQ  •  Suchen  •  Mitgliederliste  •  Benutzergruppen   •  Registrieren  •  Profil  •  Einloggen, um private Nachrichten zu lesen  •  Login
 Die Spam-Mafia Teil 1 Nchstes Thema anzeigen
Vorheriges Thema anzeigen
Neues Thema erffnenNeue Antwort erstellen
Autor Nachricht
burks
Webmaster
Webmaster


Anmeldungsdatum: 07.10.2002
Beitrge: 6758
Wohnort: Berlin-Neukoelln

BeitragVerfasst am: 26.02.2004, 16:10 Antworten mit ZitatNach oben



[NETZ]KULTUR
Aktuell26. Februar 2004
BURKS' FORUM
ber diesen Artikel diskutieren (nur fr registrierte NutzerInnen des Forums)
LINKS ZU DIESEM ARTIKEL
IRC
- Eine "mglichst kurze Einfhrung" in den Internet Relay Chat
IRC
Internet Relay Chat - Geschichte, Programme, Links (englisch)
IRC-Mania
Eine der grssten deutschsprachigen Seiten ber den Internet Relay Chat
SYN-Flooding-Attacke
Configuring TCP Intercept (Preventing Denial-of-Service Attacks)
DAS BILD DES TAGES
Am Amazonas, Grenze Brasilien/Kolumbien BurkS
KULTUR UND NETZKULTUR
Sex, Landser und Rosamunde Pilcher
Was will das Publikum?
Frauen. Turban. Islam.
Zur Kopftuch-Diskussion
Fr Rtselfreunde
Steganografie fr Dummies
Das Bad der Mnner
Impressionen aus Budapest
Cy kein Borg
Kulturindustrielle Konstruktion des technischen Subjekts in "Star Trek"
Mythos Fhrerbunker
(Buchrezension)
Hybride Bastarde
Gastkolumne von Kien Nghi Ha
LITERATUR AUF BURKS.DE
Betr.: Traumfrau
(Erotische Kurzgeschichte)
Cypherguerilla
SF-Krimi, 1997
Brother
SF, erschienen in c't 3/2000
Salvaje
SF, erschienen in ThunderYEAR2002
Eidolon
SF, erschienen in c't 17/2002
WETTER
Belmopan (Belize)
Haga-Haga (Azania)
Mandalay (Myanmar)
Notre-Dame-du-Portage (Kanada)
Seattle (USA)
Melbourne (Australien)
Hongkong (China)
Colonia San Jordi (Mallorca)

c't ENTHLLT: VIRENSCHREIBER LIEFERN SPAM-INFRASTRUKTUR

Die Spam-Mafia Teil 1

Von Burkhard Schrder


Die aktuelle Ausgabe der c't, Ausgabe 5/2004, enthlt einen gut recherchierten Artikel: "Ferngesteuerte Spam-Armeen". Thema: Viren-Programmierer liefern die Infrastruktur fr Spam - unerwnschte Werbung. Da der Artikel aber fr Computer-Laien eher unverstndlich ist, fassen wir hier die wichtigsten Aussagen volkstmlich und pdagogisch wertvoll zusammen. Und ein paar klitzekleine Links sollten bei einem Internet-Thema auch nicht fehlen.

Wie bringt man als Viren-Programmierer einen fremden Rechner in seine Gewalt? Ganz einfach: man verschickt Attachments, Anhnge von E-Mails. Die bergroe Mehrheit aller Internet-NutzerInnen ist absolut beratungsresistent, wenn es um Sicherheit geht. Man ffnet Attachments, wenn nur der vermeintliche Inhalt interessant genug erscheint. Britney_Spears_Blowjob_movie.exe, als Dateianhang versandt, lsst den mnnlichen User offenbar automatisch das Gehirn abschalten und sich einen/etwas herunterholen. Und dann exekutiert die exe den Rechner. Deswegen heisst sie auch so.

Beispiel im oben erwhnten Artikel: ein Rechner war vom Virus BDS/IRCBot.V befallen. Die Datei, die den Rechner manipulierte, hie netd32.exe. Es handelte sich um den W32/Sluter-BWurm: "...fungiert W32/Sluter-B als IRC-basierter Backdoor-Trojaner, der einem Remote-Eindringling uneingeschrnkten Zugriff auf den betroffenen Rechner gibt." Der Virus arbeitet als so genannten IRC-Bot.

Das hrt sich kompliziert an - und ist es auch. Aber trotzdem kann jeder verstehen, wie das Prinzip funktioniert: ein "trojanisches Pferd", das einem Virus entschlpft ist, erlaubt den Zugriff von aussen. Das "Pferd" muss nur vorher ein paar Tren ffnen. Jeder Computer hat davon viele - fr jede Art der Datenbertragung (englisch: protocol). Im World Wide Web werden die Bits und Bytes anders transportiert als etwa im Internet Relay Chat. Unser bses "Pferd" ist auf IRC spezialisiert: es kommuniziert mit einem fremden Rechner, einem IRC-Server, und meldet sich dort unter einem vorprogrammierten Namen in einem bestimmten "Kanal" (channel) an. Der Inhaber des channels kann jetzt mit bestimmten Befehlen alle Dateien auf den infizierten Rechner berspielen.

Zweiter Schritt: das trojanische "Pferd" startet einen Angriff auf einen weiteren Rechner, dessen genaue Adresse (IP-Adresse) es kennt - eine so genannten SYN-Flooding-Attacke. Das geht - bildlich gesprochen - so: Der Einbrecher klingelt an der Tr. Das Opfer ffnet die Tr und sagt "hallo". Aber der Einbrecher hat sich versteckt - und das Opfer lsst die Tr geffnet.

In Computer-Chinesisch (1): "Der Angreifer-Client sendet SYN, der Opfer-Server antwortet mit SYN-ACK, aber der Client besttigt nicht mit ACK. Solange diese Besttigung fehlt, ist die Verbindung also halboffen. Bei einer gewissen Anzahl von halboffenen Verbindungen ist der Server nicht mehr in der Lage, neue Verbindungen anzunehmen." Diese Art Angriff auf fremde Rechner ist eine Teilmenge der Denial-of-Service-Attacken, die fremde Computer so mit Anfragen berfluten, dass diese irgendwann ihren digitalen Geist aufgeben.

Jetzt geht es richtig los. Nachdem die Tr nicht mehr geschlossen wird, kann der Einbrecher auch ins Schlafzimmer. Der Bot oder das "Pferd" ldt die Datei winsock32.exe. Der Besitzer des Rechners merkt von alledem gar nichts. Die sehr bse executable installiert einen so genannten "offenen Socks-Proxy". Socks-Proxies wirken wie eine Tarnkappe: sie leiten alle Arten von Daten (alle IP-Protokolle) weiter, verraten aber nicht, an wen und auch nicht dessen IP-Adresse.

Wenn es also einem Spammer, einem Versender unerwnschter Werbe-Mails, gelnge, einen derartigen Proxy zu installieren, knnte er den fremden Rechner nutzen, also ber alle Arten der Datenbertragung verfgen, aber der Weg zu ihm selbst wre nicht nachzuvollziehen. Erschwerend kommt hinzu, dass der Besitzer des infizierte Rechners keine Ahnung davon hat, wozu sein Gert missbraucht wird. Um das zu tun, mssen die Einbrecher natrlich immer darber Bescheid wissen, welche IP-Adresse der bernommene Rechner gerade zugeweisen bekommen hat. Auch hier enthielt der im c't-Artikel analysierte Virus ein Skript, das zunchst die aktuelle Adresse in eine Datei schrieb und diese dann versendete. Der Zielrecher hatte einen DynDNS-Namen, wechselte seine IP-Adresse daher stndig. Der Rechercheur der c't loggte sich per Telnet in den Rechner ein und fand schnell heraus, dass der Host zeitweilig ber 11000 fremde Computer infiziert, also in seiner Gewalt hatte. Damit htte man eine Denial-of-Service-Attacke starten knnen, die die Mehrheit der Server im Internet ins Nirwana geschickt htte.

Teil II.

(1) Die beste Erluterung ist beim BSI zu finden: " Syn Flooding: Zu Beginn eines Verbindungsaufbaus wird in TCP/IP basierten Netzen ein sogenannter Handshake durchgefhrt. Dabei werden so genannte SYN - und ACK -Datenpakete ausgetauscht. Bei einem SYN-Flooding-Angriff werden an ein Computersystem sogenannte SYN-Pakete geschickt, die anstatt der eigenen Absenderadresse eine geflschte im Internet erreichbare IP-Adresse tragen. Das angegriffene Computersystem versucht nun auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Aber weil die Absenderadresse des ersten Paketes geflscht war, kann das System unter dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm aufbauen wollte. Erst nach einer gewissen Zeit werden die Verbindungsversuche von Seiten des angegriffenen Systems aufgegeben. Wenn nun eine groe Anzahl von geflschten SYN-Paketen eintrifft, verbraucht der angegriffene Rechner alle seine Verbindungskpazitten auf das hoffnungslose Versenden von SYN-ACK-Paketen und ist somit von anderen Systemen aus nicht mehr zu erreichen."

---------------------------------------------------------------------------------------

BURKS ONLINE 26.02.2004
Alle Rechte vorbehalten.
Vervielfltigung nur mit Genehmigung des BurksVEB.

Benutzer-Profile anzeigenPrivate Nachricht sendenE-Mail sendenWebsite dieses Benutzers besuchen
Beitrge der letzten Zeit anzeigen:      
Neues Thema erffnenNeue Antwort erstellen


 Gehe zu:   



Nchstes Thema anzeigen
Vorheriges Thema anzeigen
Du kannst keine Beitrge in dieses Forum schreiben.
Du kannst auf Beitrge in diesem Forum nicht antworten.
Du kannst deine Beitrge in diesem Forum nicht bearbeiten.
Du kannst deine Beitrge in diesem Forum nicht lschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Powered by phpBB © 2001, 2002 phpBB Group :: FI Theme :: Alle Zeiten sind GMT + 1 Stunde